Des chercheurs en cybersécurité ont mis au jour un botnet discret conçu pour des attaques par déni de service distribué (DDoS). # Le botnet Masjesu émerge comme un service de location de DDoS Baptisé **Masjesu**, ce botnet est proposé comme un service de location de DDoS sur Telegram depuis son apparition en 2023. Il est conçu pour compromettre une gamme variée d'appareils IoT, y compris les routeurs et les passerelles, sur différentes architectures.  Selon Mohideen Abdul Khader F, chercheur en sécurité chez **Trellix**, « Conçu pour la persistance et une faible visibilité, Masjesu privilégie une exécution prudente et discrète plutôt qu'une infection généralisée, évitant délibérément les plages d'adresses IP bloquées, comme celles appartenant au Département de la Défense (**DoD**), afin d'assurer sa survie à long terme. » # Connexion et évolution de XorBot L'offre commerciale est également connue sous le nom de XorBot en raison de son utilisation du chiffrement basé sur XOR pour obscurcir les chaînes de caractères, les configurations et les données de payload. **NSFOCUS** l'a initialement documenté en décembre 2023, l'attribuant à un opérateur nommé « synmaestro ». Une version ultérieure du botnet a ajouté 12 exploits d'injection de commandes et d'exécution de code, ciblant les routeurs, caméras, DVR et NVR de fabricants tels que **D-Link**, **Eir**, **GPON**, **Huawei**, **Intelbras**, **MVPower**, **NETGEAR**, **TP-Link** et **Vacron**. Ces exploits sont utilisés pour l'accès initial, aux côtés de nouveaux modules pour mener des attaques de type DDoS flood. **NSFOCUS** a noté en novembre 2024 que « En tant que famille de botnets émergente, XorBot montre une forte dynamique de croissance, infiltrant et contrôlant continuellement de nouveaux appareils IoT… ces contrôleurs sont de plus en plus enclins à utiliser des plateformes de médias sociaux comme Telegram comme principaux canaux de recrutement et de promotion. »  # Origines des attaques et comportement du malware Les recherches de Trellix indiquent que Masjesu commercialise sa capacité à lancer des attaques DDoS volumétriques, soulignant son infrastructure de botnet diversifiée pour cibler les réseaux de diffusion de contenu (CDN), les serveurs de jeux et les entreprises. La majorité des attaques proviennent du Vietnam, d'Ukraine, d'Iran, du Brésil, du Kenya et d'Inde, le Vietnam représentant environ 50 % du trafic observé. Une fois déployé, le malware crée et lie un socket avec un port TCP codé en dur (55988) pour permettre des connexions directes à l'attaquant. L'échec de cette opération met fin à la chaîne d'attaque. Le déploiement réussi implique l'établissement de la persistance, l'ignorance des signaux de terminaison et l'arrêt de processus tels que `wget` et `curl`, potentiellement pour perturber les botnets concurrents. Le malware se connecte ensuite à un serveur externe pour recevoir les commandes d'attaque DDoS. # Auto-propagation et exploitation des routeurs Realtek Masjesu possède des capacités d'auto-propagation, sondant des adresses IP aléatoires pour des ports ouverts afin d'étendre son infrastructure. Une cible notable est les routeurs **Realtek**, exploités en scannant le port 52869, associé au démon `miniigd` du SDK Realtek. Des botnets comme **JenX** et **Satori** ont déjà utilisé des approches similaires. Trellix conclut : « Le botnet continue de s'étendre en infectant un large éventail d'appareils IoT à travers plusieurs architectures et fabricants… Masjesu semble éviter de cibler des organisations critiques sensibles qui pourraient déclencher une attention juridique ou de la part des forces de l'ordre importante, une stratégie qui améliore probablement sa survivabilité à long terme. »